什么是数字风险管理？

风险管理是所有管理学科中反复出现的主题。传统框架——从项目管理和服务管理，到IT治理和企业架构——都一致强调其重要性。即使是敏捷框架也认可其价值。

本质上，风险管理是（或者更确切地说应该是）一种处理不确定性的方法。然而，在实践中，它往往被当作官僚主义的练习来应用，机械地遵循程序而没有正确理解其目的或影响。

造成这种情况的一个原因是魔法思维（或者我们称之为风险管理的"货物崇拜"）：坚信仅仅通过应用一套预定的程序就能正确管理风险。

另一个原因是目的的转变，从实际管理风险转向证明已经执行了规定的风险管理活动。在这种情况下，真正的重点变成了合规性：证明适当的控制措施已经到位，以满足监管要求和内部政策。

结果是，风险管理往往表现出对威胁缓解的强烈偏向（特别是对安全相关威胁），而完全忽视了机遇的管理。然而，在商业中就像在体育中一样，一支只专注于防守而忽视进攻的团队最终在两方面都会变得无效。

当今企业面临的最紧迫挑战是如何应对由尖端技术驱动的持续颠覆浪潮，如人工智能、物联网、区块链、机器人技术和云计算。技术加速使数字世界变得VUCA：易变、不确定、复杂和模糊。因此，将商业发展方法从确定性的"如果-那么-否则"观点转向概率性的"如果-那么-也许"观点至关重要，这更符合强调适应性、实验和持续学习的敏捷思维。

"数字风险管理"是识别、评估、优先排序和处理正面和负面风险的持续过程，以优化它们对企业目标的影响。有效的数字风险管理帮助企业在日益超竞争的数字环境中蓬勃发展。

重要的是要强调，数字风险管理不是对传统风险管理的背离，而是其在特定背景下的自然演进，正如《DevOps手册》中强调的，在这种背景下，无论在哪个行业运营，每个组织都可以被视为技术公司[i]。

许多技术创新并非源于全新的发明，而是来自对已有想法和技术的重新组合。例如，区块链技术就根植于点对点网络、密码学和改良版复式记账法的整合。

同样，人工智能的进步得益于增强计算能力、大规模数据集和数十年算法研究的融合；而云计算则是虚拟化、分布式系统和高速互联网连接相结合的产物。

管理学科应该采用相同的方法，根据新的条件来重新审视其长期以来的原则。数字风险管理（DRM）体现了这种方法，通过重新配置传统风险实践来应对当代数字现实。在持续数字化转型的背景下，DRM可以重新构想为包含以下组成部分。

对核心风险概念进行严格定义是有效风险管理的基础。在VUCA环境中（由波动性、不确定性、复杂性和模糊性定义），20世纪的概念如认识论概率（由认识论和贝叶斯理论发展而来）具有了新的相关性。

这些概念解决了在数字环境下不确定性推理和决策的根本挑战，在这种环境中，每种现象都源于独特且不可重复的条件、力量和变量配置——其影响往往是非线性的，且难以单独分析。

将风险分解为其构成的逻辑组成部分，并理解它们之间的相互依存关系，有助于更好地观察、分析和控制每个组成部分，从而为有效干预提供更多机会。

每一项风险都可以理解为事件发生可能性及其影响程度（如果发生的话）的组合。例如，考虑一家想要进入新市场细分领域的公司，它有机会取代已经站稳脚跟的竞争对手。这一机会可以理解为成功可能性与其影响程度（即获得的市场份额程度）的乘积。

然而，实现目标的可能性取决于几个子因素。其一是目标的可及性程度，或者说受到进入壁垒保护的程度：为了更好地理解这一方面，公司可以尝试深入了解目标客户。另一个因素是公司基于权衡收益、成本和风险（包括竞争对手可能的反击）的商业案例而采取行动的信心。

其他因素包括让竞争对手措手不及的可能性（从而防止防御性行动），以及公司和竞争对手各自调动的相对能力和资源。

最后，需要注意的是，成功获得某项资产的整体效果可能超越其内在价值：例如，这也可能提升公司的声誉。社交网络尤其可以作为胜利和失败的强大放大器——正如体育比赛中经常出现的情况，粉丝、媒体和病毒式传播的关注迅速放大了比赛结果。

针对性控制措施针对风险概念分解的每个要素。它们既可以由寻求机会的行为者（即试图克服障碍并获得某些价值）行使，也可以由防范威胁的行为者（即试图避免损失或破坏）行使。

在这两种情况下，控制措施都有助于重塑不断演化的风险情景的概率和潜在影响，将风险管理转变为一个动态的双向过程，更类似于一种博弈而非纯粹的防御机制。

风险管理过程包括识别风险、对其进行定性和定量评估，以及风险应对措施的迭代规划和执行，这涉及部署一套基于RCD的平衡控制措施。在整个过程中，风险相关假设和信息的沟通与管理作为持续活动得以维持，确保透明度和适应性。

数字化风险管理可以作为企业级、业务运营中的独立流程运行，也可在采用非敏捷方法的环境中运行。同时，在敏捷环境中，它应该作为嵌入现有框架内的补充技术发挥作用。

敏捷可以被视为本质上关注风险管理，因为它通过逐次迭代逐步减少不确定性[i]。因此，迭代和增量方法论（如Scrum或AgilePM3）可以将DRM作为整合层纳入其中。

遵循这种方法，Scrum产品负责人应该通过明确风险的代理和原因、风险事件及其对资产的影响来识别风险；然后对其进行估算并评估其货币价值，以便与其他产品待办事项一起确定优先级。是应该优先考虑能在一年内产生100万确定利润的待办事项，还是在同一时期有50%机会产生300万收益的机会？

传统技术，如蒙特卡罗模拟，可用于提供RCD各要素可能性和影响的准确估计。决策树可以帮助产品负责人通过考虑价值的非线性特性来优化产品待办事项的排序。

此外，正如待办事项细化将粗粒度的用户故事分解为更细粒度的故事一样，可以使用鱼骨图将风险分解为其多个原因，从而能够对每个原因进行有针对性的加强或缓解。如果我们知道巴西的哪只蝴蝶会在德克萨斯州引起龙卷风，我们就可以轻松地抓住它并将其钉在墙上，从而以极小的支出避免风险。

在每个冲刺期间，开发人员可以规划和实施RCD为其各种要素提供的控制措施。更重要的是，他们可以通过遵循戴明循环（计划、执行、研究、行动）来测试每个已识别风险的建模以及应用于其上的控制措施。

人类的思维倾向于基于确定性做出选择；然而，在VUCA世界中，确定性往往是幻觉。那些无法学会如何管理风险的人将无法竞争；解决方案在于文化变革。再次设想：一家公司投资于一个能在一年内产生一百万保证利润的积压项目，而另一家公司将资源投入到一个有50%机会在同期产生三百万收益的机会中。哪一家更有能力在数字化颠覆中生存？

数字风险管理的主要好处不在于提高缓解数字威胁的有效性；而在于能够重构企业以增强其长期适应性和生存能力。

DRM致力于将企业转型为分形系统，能够持续交换信息和知识，并在组织的多个层级复制有效的运营模式。实践DRM的企业会发展出适应性强、自相似的结构，这种结构能够增强灵活性、促进知识共享、维持长期竞争力，同时还建立了支持AI驱动的风险建模和决策制定的框架。

这种结构性转型增强了组织持续学习的能力，使其能够充分利用数字化机遇并实现持续的竞争优势。

为了构建有效的风险管理能力，企业可以重复利用军事科学和网络安全等领域的成熟方法。基于情景的军事演习和网络安全的紫队演练可以适应到商业环境中。

例如，一个内部团队可以模拟竞争对手的攻击，另一个团队则通过修复暴露的漏洞和发起反制措施来应对，第三个团队扮演客户角色，决定支持哪一方。

这种类型的模拟不仅加强了团队合作和竞争思维，还加速了数字风险管理文化的发展——一种将韧性、适应性和数据驱动决策融入企业核心的文化。

数字风险管理将颠覆转化为动力，使其成为数字时代有效且可持续增长的引擎。

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "正确实施的敏捷项目管理是处理项目风险的有效方式——不需要也没有价值建立一个并行的'风险管理'流程。" 敏捷项目管理 v3 参考手册，敏捷商业联盟，2024年。